多因素认证的新挑战及其影响

关键点总结

• 攻击者开始找到绕过多因素认证（MFA）的方法，这表明MFA已变得更加普及。
• MFA的形式不同，并非所有都具有同等的安全性。
• 用户在使用MFA时要保持警惕，以防受到网络攻击。
• 勒索软件依然是公共和私营组织面临的主要威胁。

随着网络攻击技术的发展，越来越多的攻击者开始寻找绕过（MFA）的方法。这一趋势的出现，实际上反映了一些安全研究人员所言，MFA技术已逐渐成为主流。一份发布的报告指出，MFA成为攻击目标的事实显示出该技术在抵御网络犯罪方面的作用越来越明显。

AndrewBarratt，Coalfire的副总裁表示，“多因素认证本身成为攻击目标是一件好事——这表明它已经普及到能够干扰网络犯罪者的程度，以至于这项技术本身遭受到攻击。”

Vulcan Cyber的高级技术工程师MikeParkin提到，MFA的实施质量参差不齐，部分形式天生就更加坚固，更能抵御攻击。“虽然几乎任何形式的MFA实施都是朝着正确方向迈进的一步，但它们并不是万灵药，需要在便利性和有效性之间找到恰当的平衡。”

SlashNext首席执行官Patrick Harr指出，用户在使用时应保持警惕。Harr表示，尽管MFA能有效降低成功的可能性，但它并非十全十美。他警告称，如果链接将用户引导至一个假冒的合法网站，用户仍有可能受害。事实上，网络安全与基础设施安全局（CISA）已对网络犯罪分子利用巧妙手段绕过MFA的情况发出警告，这已成为一种有效的财务和数据盗窃手法。

Deep Instinct的竞争情报分析师JerrodPiker表示，虽然MFA一直有效，但攻击者最近开始绕过这些工具以获取访问权限。Piker解释了他们绕过MFA的一种方式，这被称为“提示轰炸”。这种方式是指攻击者已经成功获取了一个认证因素，随后不断发送认证请求，以期通过消耗最终用户的耐心使其不小心或故意批准请求。Piker表示，已有多篇公开报告证实这种方法的成功。

重要的是，Piker提醒用户，如果他们发现此类异常活动，应尽快向安全团队报告，并更改密码。

攻击者还成功使用另一种方法，即会话劫持。Piker表示，这种技术是攻击者发送包含合法登录网站链接的钓鱼邮件，但在两者之间设置透明代理，从而窃取用户凭证和会话密钥，并继续使用已认证的会话。为了避免此类攻击，安全团队应培训用户，永远不要通过电子邮件中的链接进行登录。相反，他们应直接访问MFA资源的URL以启动登录会话。

勒索软件依然是主要威胁

总体来看，Secureworks报告发现，仍然是公共和私营组织面临的主要威胁。研究人员发现，2022年勒索软件攻击的平均检测时间为4.5天。尽管使用情况在新兴与长期存在的选项之间波动，加载器仍是勒索软件生态系统的重要组成部分。

Coalfire的Barratt指出，“勒索软件已经被证明是一种稳定的攻击载荷，可以通过多种攻击路径投放给目标，而这些路径都是攻击者可以变现的。”他补充道，“初始访问经纪人（initialaccess brokers）对某些环境拥有‘批发级’访问权，这为犯罪即服务（crime-as-a-
service）商业模式提供了基础。通过经纪人一手购买初始访问权限，然后将勒索软件/恶意软件